Praktische handvatten voor interne beheersing
De nieuwe COSO-leidraad voor kleinere ondernemingen is handig voor alle ondernemingen, klein of groot, beursgenoteerd of niet. En ook accountants, intern en extern, hebben er een mooi handvat bij gekregen.
Dit artikel is verschenen in de Accountant nr. 5, 2007
Bekijk alle artikelen uit dit nummer
Jos de Groot
Nieuwe COSO-leidraad voor kleinere ondernemingen
De Committee of Sponsoring Organizations of the Treadway Commission (COSO) heeft zich onlangs verdienstelijk gemaakt voor het Nederlandse bedrijfsleven. In de nieuwe publicatie Internal control over financial reporting: guidance for smaller public companies (COSO-ICFR) introduceert de Amerikaanse organisatie twintig principes met onderliggende attributen en benaderingen die het inrichten, in stand houden en beoordelen van de interne beheersing toegankelijker en eenvoudiger maken.
COSO-ICFR is in eerste instantie bedoeld voor kleinere beursgenoteerde ondernemingen in de VS die moeite hebben om op een effectieve en kostenefficiënte manier te voldoen aan de door de Sarbanes-Oxley-wet sectie 404 geëiste effectieve interne beheersing rondom de externe financiële verslaglegging. De nieuwe COSO-leidraad houdt rekening met de specifieke karakteristieken van de interne beheersing in dit soort kleinere organisaties. Wat ‘kleinere ondernemingen’ zijn is overigens niet gekoppeld aan bijvoorbeeld omzet of marktwaarde, maar aan een aantal kenmerken.
Tabaksblat
Het mooie is dat de twintig principes ook voor Nederlandse ondernemingen zeer goed bruikbaar zijn. De commissie Frijns (die de code Tabaksblat monitort) verlangt immers dat beursgenoteerde ondernemingen in hun jaarverslag als onderdeel van de risicoparagraaf een in control-verklaring opnemen ten aanzien van effectieve werking van de interne beheersing van de financiële verslagleggingsrisico's. Maar in de praktijk zijn hier echter geen nadere handvatten voor. De nieuwe COSO-publicatie reikt deze nu deels aan. Naar verwachting zullen ook externe accountants hier volop gebruik van gaan maken.
Volgens de Richtlijnen voor de Accountantscontrole 315 (RAC 315) dienen zij immers voor elke cliënt ook de internebeheersingsstructuur te beoordelen. Dit geldt voor zowel kleine, middelgrote als grote ondernemingen, beursgenoteerd en niet beursgenoteerd, en zowel in de commerciële sector als in de publieke sector. Aan de hand van de nieuwe COSO-leidraad kunnen zij de accountantscontrole op dit punt efficiënter inrichten.
Overzichtelijk
Om misverstanden te voorkomen; de nieuwe COSO-leidraad vormt geen nieuw raamwerk voor de interne beheersing en vervangt of modificeert zeker ook niet het algemeen geaccepteerde en gebruikte COSO Integrated Internal Control Framework uit 1992 (COSOIICF). Terwijl dat laatste een kader is voor de interne beheersing, beperkt de nieuwe leidraad zich tot de interne beheersing rondom de externe financiële verslaglegging. De grote winst is dat de nieuwe publicatie veel duidelijker en overzichtelijker maakt wat kleinere ondernemingen allemaal moeten doen om tot een betrouwbare externe financiële verslaglegging te komen.
Maar ook de communicatie over interne beheersing en het bepalen van de effecten van eventuele ontbrekende controls en het benoemen van verbeterpunten worden erdoor vergemakkelijkt.
Uitgangspunt blijft dat aan alle vijf componenten van interne beheersing moet worden voldaan: het beheersingskader (control environment), de risicobeoordeling (risk assessment), de internebeheersingsactiviteiten (control activities), informatie & communicatie (information & communication) en het toezicht (monitoring). Deze componenten moeten materiële onjuistheden in de financiële verslaglegging voorkomen, dan wel tijdig ontdekken en corrigeren. Op die wijze weet de ondernemingsleiding met een redelijke mate van zekerheid dat de financiële verslaglegging betrouwbaar is.
Handvatten
De twintig korte, krachtige en herkenbare principes bieden de gebruikers binnen ondernemingen meer houvast dan voorheen bij het inrichten, in stand houden en beoordelen van de interne beheersing. Deze principes worden elk nog eens ondersteund door zogenaamde attributen (gemiddeld drie á vier per principe) en benaderingen. Verder zijn per principe enkele voorbeelden uitgewerkt van de wijze waarop die attributen en benaderingen in de praktijk worden toegepast.
De nieuwe leidraad en hulpmiddelen zijn voor accountants van belang omdat in de praktijk blijkt dat zij een behoefte hebben aan nieuwe en bruikbare praktische handvatten voor de beoordeling van de interne beheersing. Deze behoefte ligt vooral op het terrein van de zogenaamde ‘zachtere’ internebeheersingscomponenten beheersingsomgeving, risicobeoordeling, informatie & communicatie en toezicht.
Daarnaast biedt de beoordeling de kans om de accountantscontroleaanpak optimaler te laten aansluiten op de bestaande interne beheersingsstructuren en dus om een meer controlsbased audit-aanpak te hanteren. Gedreven door corporate governance-ontwikkelingen en businessmotieven zijn veel organisaties hun risicobeheersingssystemen verder aan het verbeteren en professionaliseren. Van de accountant wordt dan ook verwacht dat hij hier met zijn auditaanpak op aansluit.
Kanttekeningen
De nieuwe verpakking van COSO-ICFR had wat mij betreft al veel eerder geïntroduceerd mogen worden. Toch kunnen ook een paar kanttekeningen worden geplaatst.
Jammer is bijvoorbeeld dat de twintig principes niet rechtstreeks aansluiten op de reguliere planning & control-cyclus waaraan de interne beheersing en zeker die van de financiële verslaglegging in het Nederlandse bedrijfsleven doorgaans wordt opgehangen. Juist verankering van interne beheersing en risicomanagement aan deze cyclus houdt risicobeheersing blijvend onder de aandacht en maakt het tot een natuurlijk, onderhoudbaar en herkenbaar proces. Het zou mooi zijn als een aantal principes en onderliggende attributen daaraan concreter gewijd hadden kunnen worden. Maar kennelijk wil COSO nog niet zo concreet deze taal van managers spreken.
‘Topdown’
Een ander nadeel is dat COSO toch nog vooral lijkt uit te gaan van centraal geleide topdown gestuurde organisaties. Dat is enigszins begrijpelijk omdat het een Amerikaanse publicatie is. Maar voor Nederlandse bedrijven is dit gegeven wel iets om in het achterhoofd te houden wanneer zij de principes naar hun eigen onderneming vertalen. De strategie, organisatiecultuur en keuze van besturingsprincipes bepalen immers in grote mate de wijze waarop de interne beheersing wordt ingericht. In mijn eigen praktijk ervaar ik echter regelmatig dat bij het vastleggen, begrijpen en beoordelen van de interne beheersing het typeren van de strategie en de besturingsprincipes wordt vergeten of onderbelicht. Het gevaar bestaat sowieso dat COSO te veel als checklist wordt gehanteerd in plaats van als een raamwerk.
Al met al is COSO-ICFR door de introductie van twintig principes met attributen een uitstekende en toegankelijke aanvulling op het algemeen geaccepteerde en breed toegepaste COSO-Integrated Internal Control Framework (IICF). En daarvan kunnen zowel bestuurders, commissarissen, toezichthouders, aandeelhouders, financieel directeuren, controllers, interne auditors als externe accountants volop profiteren.
Noot
Jos de Groot is werkzaam bij PricewaterhouseCoopers Accountants.
Drie delen
De COSO-ICFR-studie bestaat uit drie delen. Deel I is de samenvatting die vrij te downloaden is op www.coso.org. Deel II, Guidance, vormt het hart van de publicatie en bespreekt de eerdergenoemde principes, attributen, benaderingen en voorbeelden vanuit de karakteristieken van kleinere organisaties. Deel III bevat een aantal handige hulpmiddelen voor toepassing in de praktijk. Vooral de Principles evaluation, waarin voor elk principe een paar heldere vragen zijn opgenomen, is handig.
Gerelateerd
Laten we internal controls niet vergeten
Accountants hebben de verantwoordelijkheid om ondernemingen te wijzen op tekortkomingen in de interne beheersing en aan te sturen op verbetering hiervan. Volgens...
Interne beheersing in de mkb-praktijk
Wat is het toch dat accountants zichzelf keer op keer op het verkeerde been zetten door controlebewijskracht toe te kennen aan 'interne beheersingsmaatregelen' die...
Corporate governance
Nieuws, achtergrond en debat over corporate governance, risicomanagement, bestuurdersbeloningen en internal audit.
Eumedion Speerpuntenbrief: aandacht voor interne controle en geïntegreerde verslaggeving
Nederlandse beursgenoteerde ondernemingen zouden ten minste jaarlijks de effectiviteit van hun interne risicobeheersing- en controlesystemen moeten beoordelen.
Gebruik COSO-rapport voor verantwoording ethisch handelen
Soms lijkt het of er weinig vooruitgang wordt geboekt in de internationale strijd tegen corruptie en fraude. Maar dan is er, sinds mei 2013, het nieuwe COSO-rapport.